一、实验环境:
主域控制器、额外域控制器都开启windows防火墙 。
二、问题现状
此时两个DC 之间启动防火墙,就会出现无法同步的现象。从服务器日志看到:
文件复制服务有困难启用复制: 从PDC 到BDC 为
c:\windows\sysvol\domain 用DNS 名称pdc.xin***.com 。FRS 将继续重试。
以下是您看到此警告的一些原因。
1、FRS 不能从此计算机正确解析此DNS 名称pdc.xin****.com 。
2、FRS 不在pdc.xin***.com 上运行。
3、Active Directory 里此副件的拓扑信息还没有复制到所有域控制器。
这个事件纪录消息将每个连接出现一次。问题解决后,您将看到另一个事件日志消息, 它
表明连接被建立。
譬如:在主域控制器以外的域控制器里面建用户,提示, windows 无法验证用户名的唯一
性, 因为在全局编录联系下发生下列错误:该服务器不可操作三、解决办法:
1 、关闭域控制器的防火墙
当然,如果关闭防火墙就会不太安全,一般的大企业也不会让你这样做。
2 、开放域控制器所需的端口
这是我们需要考虑:
- 用户登录与验证身份时会用到的连接端口;
- 计算机登录与验证身份时会用到的连接端口
- 用户登录时会用到的服务,服务所对应的一个或多个的端口。
- 计算机登录到域控制器时会用到的服务
- DNS所用到的端口
须在防火墙开放这些服务的连接端口。
Microsoft-DS traffic: 445/TCP 、445/UDP
Kerberos: 88/TCP 、88/UDP
LDAP ping: 389/UDP
DNS: 53/TCP 、53/UDP四、位于不同林的域
位于不同林的域在建立“显性信任( explicit trust ) ”关系时,除了会用到上面所提到的端口外,还会有Net Logon service 无法被锁定在固定的一个RPC 连接端口, 也就是它是使用动态的RPC连接端口,此时我们如何开放连接端口呢?还好动态的RPC 连接端口可以被限制在一个范围内。AD 数据复制需要的端口:
RPC 终结点影射器: 135/TCP ,135/UDP
NetBIOS 名称服务: 137/TCP ,137/UDP
NetBIOS 数据文报服务: 138/UDP
NetBIOS 会话服务: 139/TCP
RPC 动态分配: 1024-65535/TCP
Microsoft-DS :445/TCP ,445/UDP
LDAP :389/TCP
SSL 上的LDAP :636/TCP
全局编录LDAP : 3268/TCP
SSL 上的全局编录LDAP :3269/TCP
Kerberos :88/TCP ,88/UDP
DNS :53/TCP ,53/UDP
WINS 解析(如果需要) :1512/TCP ,1512/UDP
WINS 复制(如果需要) :42/TCP ,42/UDP
AD 用户密码修改: 464/TCP